ACL（访问控制列表）

ACL是一款IOS软件工具，而不是某种协议。

从名字上来看，ACL的主要功能是控制对网络资源的访问的。事实上这是ACL最早的用途。现在ACL除了能够限制访问外，更多时候，我们用它来标识流量。（识别某种流量的特征）

ACL是一张由permit或deny的声明组成的列表。

ACL仅是一种工具，如果不进行调用的话，不会产生任何效果。

ACL的使用范围，包括常见的访问控制，NAT，远程连接限制，VPN匹配感兴趣流量，配合分法列表过滤路由等。

ACL大体可以分为标准ACL和扩展ACL两大类。可以使用的匹配流量的标准主要是IP数据包的3层和4层报文的内容。标准ACL功能较为简单，只能使用源IP地址对数据进行标识。

ACL使用通配符掩码来匹配一定范围内的IP主机。

ACL在接口上调用时，必须指定方向，ACL只对流量入接口的入方向或出接口的出方向产生效果。

每个ACL的底部，总会包含一个隐式的拒绝语句。它会匹配所有流量。所有的ACL都应该至少包含一个permit，否则该ACL没有意义。

标准ACL进行访问控制时，调用的位置应该尽可能的靠近目标主机，否则容易错误的拒绝合法流量。

ACL基本配置

R3(config)#access-list 1 deny 10.1.4.0 0.0.0.255

R3(config)#access-list 1 permit any

配置ACL1中的两条语句（根据顺序，默认序列号为10和20），第一条deny了4.0的所有流量，第二条放行了其它所有流量。

R3(config-if)#ip access-group 1 out

将ACL1调用在R3e0/2接口的出方向上。

show access-list

做流量控制的时候，我们一般使用扩展ACL，能够对流量进行更精确的匹配。

扩展ACL配置和调用的位置应该尽可能的靠近数据源，这样能够减少资源的浪费。

扩展ACL基本配置：

R1(config)#access-list 100 deny ip 10.1.4.0 0.0.0.255 10.1.8.0 0.0.0.255

R1(config)#access-list 100 permit ip any any

注意扩展ACL必须指定协议，如果不想对某种协议单独进行限制，可以输入IP关键字，扩展ACL还必须指定IP源和目的，如果不想特殊指定，可以输入any参数。

使用编号来区分ACL有比较大的局限性，首先编号ACL，管理和归档不便，不能从ACL的编号上分辨除该ACL的作用，其次编号ACL不支持单独添加或删除某条语句，所以现在推荐使用命名ACL的方式来编辑ACL。命名ACL支持使用一个字符串来标识一个ACL，更容易理解，命名ACL可以进入命名ACL配置子模式的配置模式下，对ACL中的单条语句进行操作。更容易维护。

命名ACL配置练习

ip access-list extended DENY428

 deny   ip 10.1.4.0 0.0.0.255 10.1.8.0 0.0.0.255

 permit ip any any

R2(config-if)#do show ip access-list ACL排障命令

NAT

网络地址转换

NAT分类

静态NAT，动态NAT，PAT（端口地址转换）

静态NAT是将源IP地址进行一对一的转换的技术。

NAT当中的几个地址分类

内部本地地址（Inside Local）

内部全局地址（Inside Globle）

外部本地地址（Outside Local）

外部全局地址（Outside Globle）
 

如图所示配置IP地址和静态默认路由以及IGP。在GATEWAY上进行静态NAT转换，实现内网主机访问公网服务器。注意，禁止配置除了默认路由外的其它静态路由，禁止在连接联通的接口上宣告IGP，禁止配置联通路由器（除IP地址外）。

Gateway参考配置

interface Ethernet0/0

 ip address 12.1.1.2 255.255.255.0

 ip nat inside

interface Ethernet0/1

 ip address 209.115.14.1 255.255.255.0

 ip nat outside

router eigrp 1

 network 12.1.1.2 0.0.0.0

ip nat inside source static 10.1.100.1 209.115.14.5

ip route 0.0.0.0 0.0.0.0 209.115.14.2

NAT（续）

静态NAT，一对一的地址转换

动态NAT，多对一的地址转换：

将自己所有的可用的公有IP地址加入一个NAT地址池，通过配置动态NAT，在内网主机有访问Internet的需求的时候，NAT设备会从NAT地址池当中抽取一个IP地址，为你的内网主机进行地址转换，当内网主机停止访问公网的时候，这个地址被收回地支持，以便给其它主机使用。

PAT，端口地址转换

PAT课堂实验

NAT参考配置

GATEWAY：

interface Ethernet0/0

 ip address 12.1.1.2 255.255.255.0

 ip nat inside

interface Ethernet0/1

 ip address 209.115.14.1 255.255.255.0

 ip nat outside

router eigrp 1

 network 12.1.1.2 0.0.0.0

ip nat inside source list 1 interface Ethernet0/1 overload

ip route 0.0.0.0 0.0.0.0 209.115.14.2

access-list 1 permit 10.1.6.0 0.0.0.255

access-list 1 permit 10.1.7.0 0.0.0.255

access-list 1 permit 10.1.1.0 0.0.0.255

ip nat inside source list 1 interface Ethernet0/1 overload

配置内部源转换，源地址用ACL1匹配，目的地址为接口e0/1IP地址，超载转换

show ip nat translations

查看NAT转换表（可以用来检查NAT是否进行了地址转换）

show ip nat statistics

查看NAT统计（可以用来检查内部和外部接口配置是否正确）